来源:谷歌安全研究员 Ivn (@ivRodriguezCA) / Twitter
TikTok snooping on users' pasteboard, so I had to take a look.
Their main app's [YYTextView _initTextView] method:
...
haha TikTok can handle all the URL schemes in the world. LSApplicationQueriesSchemes:
参与讨论的tbodt表示:
it doesn't handle these schemes, it asks the system if something handles these schemes, so it can detect whether any of these apps are installed
[谷歌翻译] 它不处理这些方案,而是询问系统是否有东西可以处理这些方案,因此它可以检测是否安装了这些应用程序
注册schemes列表如下
```plist
<key>CFBundlePackageType</key>
<->APPL</->
<key>LSApplicationQueriesSchemes</key>
<array>
<->capcut</->
<->lark</->
<->viber</->
<->wechat</->
<->mtmv</->
<->weixin</->
<->sinaweibohd</->
<->sinaweibo</->
<->sinaweibosso</->
<->weibosdk</->
<->weibosdk2.5</->
<->mqqapi</->
<->mqq</->
<->mqqOpensdkSSoLogin</->
<->mqqconnect</->
<->mqqopensdkdataline</->
<->mqqopensdkgrouptribeshare</->
<->mqqopensdkfriend</->
<->mqqopensdkapi</->
<->mqqopensdkapiV2</->
<->mqqopensdkapiV3</->
<->mqzoneopensdk</->
<->wtloginmqq</->
<->wtloginmqq2</->
<->mqqwpa</->
<->mqzone</->
<->mqzonev2</->
<->mqzoneshare</->
<->wtloginqzone</->
<->mqzonewx</->
<->mqzoneopensdkapiV2</->
<->mqzoneopensdkapi19</->
<->mqzoneopensdkapi</->
<->mqzoneopensdk</->
<->fbapi</->
<->fb-messenger-api</->
<->fbauth2</->
<->fbshareextension</->
<->kakao61f447fe9723aa9c0b67a52eeb998e77</->
<->kakaokompassauth</->
<->storykompassauth</->
<->kakaolink</->
<->kakaotalk-5.9.7</->
<->storylink</->
<->line</->
<->instagram</->
<->instagram-stories</->
<->lineauth</->
<->line3rdp.com.zhiliaoapp.musically</->
<->whatsapp</->
<->fb-messenger-platform-20150714</->
<->fb-messenger-platform-20150305</->
<->fb-messenger-platform-20150218</->
<->fb-messenger-platform-20150128</->
<->bbmi</->
<->zalo</->
<->musically</->
<->likevideo</->
<->com.xkeam.muvik</->
<->snapchat</->
<->kwai</->
<->mixch</->
<->com.hdv.vivavideofree2015</->
<->twitter</->
<->twitterauth</->
<->bandapp</->
<->kakaostory</->
<->navercafe</->
<->naverblog</->
<->vkauthorize</->
<->vk</->
<->vk-share</->
<->fb-messenger-share-api</->
<->fb-messenger</->
<->itms-beta</->
<->heloiossso</->
<->comgooglemaps</->
<->qqmap</->
<->baidumap</->
<->iosamap</->
<->resso</->
</array>
 |
1
Jirajine Jun 30, 2020 via Android
用这么麻烦?获取已安装应用又不需要权限。
|
 |
3
est Jun 30, 2020
国内 app 常规操作。一家推送全桶唤醒。。
|
 |
5
w99w Jun 30, 2020
这个 schemes 列表是 APP 被查询时用到的。
|
 |
6
icyalala Jun 30, 2020
YYTextView 是个开源库,
Scheme 列表除了判断是否安装以外,如果你需要接入诸如 QQ 微信微博登录也是要写上的。 我看不出这些有什么问题。。 |
 |
7
mcluyu Jun 30, 2020
这不是常规操作么,这也没多少啊,大多数都是为了分享到目标 APP,要想石锤,好歹也逆向一下,找到循环调用测试是否安装该 APP 的代码才有说服力吧。
|
 |
8
dorentus Jun 30, 2020  2
ivRodriguezCA 真的是谷歌安全研究员?
连 LSApplicationQueriesSchemes 是做什么的都不知道…… YYTextView 没听过倒是还正常,但是随便 Google 搜索一下都不会…… |
 |
10
Telegram Jun 30, 2020
|
 |
11
hoyixi Jun 30, 2020 1
无所谓,反正这是一款中国人禁止入内的 App
|
 |
12
akira Jun 30, 2020
所以 结论是什么?
|
Select Language